VÚŘADU PRO OCHRANU OSOBNÍCH ÚDAJŮ

ĚSTNÍK V

ÚŘADU PRO OCHRANU OSOBNÍCH ÚDAJŮ

2012

Částka 63

19. listopadu 2012

Cena 79,- Kč

OBSAH Úvod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3474 I.

Registrace Přehled zrušených registrací za období od 16. 6. 2012 do 31. 10. 2012 . . . . . . . . . . . . . . . . . . 3475

II. Stanoviska Úřadu Stanovisko č. 14/2012: Zveřejňování osobních údajů žadatelů o dotaci podle novely rozpočtových pravidel č. 171/2012 Sb. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3476 III. Sdělení Úřadu Stanovisko č. 02/2012 Pracovní skupiny pro ochranu dat podle článku 29 směrnice 95/46/ES (WP29) k rozpoznávání tváře u on-line a mobilních služeb (WP 192, 00727/12/CS); (Překlad pořízený Evropskou komisí, přetisk v původní podobě) . . . . . . . . . . . . . . . . . . . . . . . 3478 IV. Materiály z Úředního věstníku Evropské unie a) Rozhodnutí Komise 2011/61/EU ze dne 31. ledna 2011 o odpovídající ochraně osobních údajů Státem Izrael v souvislosti s automatizovaným zpracováváním osobních údajů (Přetisk z Úředního věstníku Evropské unie) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3489 b) Prováděcí rozhodnutí Komise 2012/484/EU ze dne 21. srpna 2012 o odpovídající ochraně osobních údajů Uruquayskou východní republikou v souvislosti s automatizovaným zpracováváním osobních údajů (Přetisk z Úředního věstníku Evropské unie) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3493

Věstník Úřadu pro ochranu osobních údajů 63/2012

Strana 3474

ÚVOD V šedesáté třetí částce Věstníku Úřadu pro ochranu osobních údajů je publikován přehled zrušených registrací v období od 16. 6. 2012 do 31. 10. 2012. Rubrika Stanoviska Úřadu přináší stanovisko č. 14/2012 „Zveřejňování osobních údajů žadatelů o dotaci podle novely rozpočtových pravidel č. 171/2012 Sb.“ Stanovisko se zabývá novelou rozpočtových pravidel č. 171/2012 Sb. (účinná od 1. srpna 2012) z pohledu ochrany osobních údajů. Rubrika Sdělení Úřadu přináší dokument Pracovní skupiny pro ochranu dat podle článku 29 směrnice 95/46/ES (WP29), kterým je „Stanovisko č. 02/2012 k rozpoznávání tváře u on-line a mobilních služeb“. V posledních letech došlo k rychlému nárůstu dostupnosti a přesnosti technologie rozpoznávání tváře, která navíc začala tvořit součást on-line a mobilních služeb pro účely identifikace, autentizace/verifikace nebo kategorizace jednotlivců. Jako příklady jejího užití v rámci on-line či mobilních služeb lze uvést sociální sítě nebo výrobu chytrých telefonů. Smyslem tohoto stanoviska je posoudit právní rámec ochrany osobních údajů ve vztahu k těmto novým způsobům zpracování osobních dat a a nabídnout vhodná doporučení, která by se mohla uplatnit ve vztahu k užívání této technologie v kontextu on-line a mobilních služeb. V rubrice Materiály z Úředního věstníku Evropské unie je publikován dokument „Rozhodnutí Komise 2011/61/EU ze dne 31. ledna 2011 o odpovídající ochraně osobních údajů Státem Izrael v souvislosti s automatizovaným zpracováváním osobních údajů“ a dokument „Prováděcí rozhodnutí Komise 2012/484/EU ze dne 21. srpna 2012 o odpovídající ochraně osobních údajů Uruguayskou východní republikou v souvislosti s automatizovaným zpracováváním osobních údajů“. Jedná se o překlady pořízené Evropskou komisí (přetisky v původní podobě).


Strana 3475

Přehled zrušených registrací Číslo registrace

Subjekt

00001188/047 00001601/001 00001726/004 00001726/005 00001726/006 00001726/009 00003212/001 00003212/002 00004183/005 00004715/003 00004715/004 00004715/005 00004715/007 00012443/001 00012603/001 00019116/006 00019116/014 00019116/023 00019116/026 00019116/028 00019116/029 00019116/051 00019116/070 00019116/085 00019116/086 00019116/087 00019116/088 00024153/001 00033481/006 00036764/001 00042053/001 00042053/002

UNILEVER ČR, SPOL. S R.O. OLOMOUCKÝ KRAJ COCA-COLA HBC ČESKÁ REPUBLIKA, S.R.O. COCA-COLA HBC ČESKÁ REPUBLIKA, S.R.O. COCA-COLA HBC ČESKÁ REPUBLIKA, S.R.O. COCA-COLA HBC ČESKÁ REPUBLIKA, S.R.O. STUDIJNÍ A VĚDECKÁ KNIHOVNA PLZEŇSKÉHO KRAJE, PŘÍSPĚVKOVÁ ORGANIZACE STUDIJNÍ A VĚDECKÁ KNIHOVNA PLZEŇSKÉHO KRAJE, PŘÍSPĚVKOVÁ ORGANIZACE SCHLECKER A.S. MĚSTO OTROKOVICE MĚSTO OTROKOVICE MĚSTO OTROKOVICE MĚSTO OTROKOVICE SIEMENS KOLEJOVÁ VOZIDLA S. R. O. NOVÁK ING. ZDENĚK SPRÁVA ŽELEZNIČNÍ DOPRAVNÍ CESTY, STÁTNÍ ORGANIZACE SPRÁVA ŽELEZNIČNÍ DOPRAVNÍ CESTY, STÁTNÍ ORGANIZACE SPRÁVA ŽELEZNIČNÍ DOPRAVNÍ CESTY, STÁTNÍ ORGANIZACE SPRÁVA ŽELEZNIČNÍ DOPRAVNÍ CESTY, STÁTNÍ ORGANIZACE SPRÁVA ŽELEZNIČNÍ DOPRAVNÍ CESTY, STÁTNÍ ORGANIZACE SPRÁVA ŽELEZNIČNÍ DOPRAVNÍ CESTY, STÁTNÍ ORGANIZACE SPRÁVA ŽELEZNIČNÍ DOPRAVNÍ CESTY, STÁTNÍ ORGANIZACE SPRÁVA ŽELEZNIČNÍ DOPRAVNÍ CESTY, STÁTNÍ ORGANIZACE SPRÁVA ŽELEZNIČNÍ DOPRAVNÍ CESTY, STÁTNÍ ORGANIZACE SPRÁVA ŽELEZNIČNÍ DOPRAVNÍ CESTY, STÁTNÍ ORGANIZACE SPRÁVA ŽELEZNIČNÍ DOPRAVNÍ CESTY, STÁTNÍ ORGANIZACE SPRÁVA ŽELEZNIČNÍ DOPRAVNÍ CESTY, STÁTNÍ ORGANIZACE KAVKA KAREL FAMILY DROGERIE S.R.O. TRIGA COLOR, A.S. STAVEBNÍ BYTOVÉ DRUŽSTVO POZEMNÍ STAVBY LIBEREC STAVEBNÍ BYTOVÉ DRUŽSTVO POZEMNÍ STAVBY LIBEREC

Datum zrušení 13.7.2012 31.8.2012 19.10.2012 19.10.2012 19.10.2012 19.10.2012 29.6.2012 29.6.2012 7.9.2012 25.7.2012 25.7.2012 25.7.2012 25.7.2012 26.10.2012 16.6.2012 27.7.2012 27.7.2012 22.8.2012 27.7.2012 27.7.2012 27.7.2012 10.8.2012 27.7.2012 10.8.2012 10.8.2012 10.8.2012 10.8.2012 24.7.2012 25.7.2012 31.8.2012 28.7.2012 28.7.2012


Strana 3476

II. STANOVISKA ÚŘADU Stanovisko č. 14/2012 listopad 2012

Zveřejňování osobních údajů žadatelů o dotaci podle novely rozpočtových pravidel č. 171/2012 Sb. Úvod Dne 1. srpna 2012 nabyla účinnosti novela rozpočtových pravidel č. 171/2012 Sb.,1 která v čl. I bodu 7 zavádí širokou povinnost Ministerstva financí zveřejnit „veškeré dokumenty a údaje“ v žádosti o dotaci (tj. daru podle § 2055 nového občanského zákoníku s příkazem podle § 2064 nového občanského zákoníku) nebo návratné finanční výpomoci (tj. zápůjčky podle § 2390 nového občanského zákoníku, rovněž s příkazem), které mu poskytovatel dotace nebo návratné finanční výpomoci podle § 18a odst. 1 rozpočtových pravidel předá. Tato nová byrokratická zátěž byla dále rozpracována ve sdělení Ministerstva financí č. 22/2012, upravujícím elektronickou podobu formátu, ve kterém poskytovatelé předávají podle § 18a odst. 1 zákona č. 218/2000 Sb. v platném znění Ministerstvu financí ke zveřejnění veškeré dokumenty a údaje rozhodné pro poskytování dotací a návratných finančních výpomocí s výjimkami uvedenými v § 18a odst. 2 zákona č. 218/2000 Sb. Toto sdělení bylo zveřejněno ve Finančním zpravodaji 5/2012, pp. 107–118.2 Platnou dikci § 18a rozpočtových pravidel považuje Úřad pro ochranu osobních údajů (dále jen „Úřad“) za krajně nevhodnou. Úřad opakovaně upozorňoval na způsob, jak by vládní protikorupční úsilí mělo zohlednit oprávnění týkající se soukromí a nastavit konkrétní pravidla pro zacházení s osobními údaji. V připomínkovém řízení k novele rozpočtových pravidel však nebyly připomínky Úřadu řádně projednány. Toto stanovisko přitom nijak zásadně neomezuje právo veřejnosti na informace a možnost kontrolovat nakládání s veřejnými prostředky. Vede ke stejnému cíli, který český zákonodárce vytýčil, při plném respektování oprávnění na soukromí, jak je vnímáno v Evropské unii judikaturou Evropského soudního dvora (dále jen „ESD“).

Evropské právo Úřad upozornil Ministerstvo financí v meziresortním připomínkovém řízení, že připravovaný zákon č. 171/2012 Sb. je 1

2

http://aplikace.mvcr.cz/sbirka-zakonu/ViewFile. aspx?type=z&id=24309 http://www.mfcr.cz/cps/rde/xbcr/mfcr/Legislativa_Financni_ zpravodaj_-2012-05.pdf

v rozporu s evropským právem. Čl. 6 odst. 2 smlouvy o založení Evropské unie stanoví: „Unie ctí základní práva zaručená Evropskou úmluvou o ochraně lidských práv a základních svobod podepsanou v Římě dne 4. listopadu 1950 a ta, jež vyplývají z ústavních tradic společných členským státům, jako obecné zásady práva Společenství.“ V České republice byla tato úmluva (dále jen „EÚLP“) Rady Evropy vyhlášena pod č. 209/1992 Sb. Po Lisabonské smlouvě je základním normativním aktem Evropské unie na ochranu lidských práv Charta základních práv Evropské unie č. 2007/C 303/01 (dále jen „Charta“), která je součástí primárního práva Evropské unie. Vychází z EÚLP a rozšiřuje ji. Ministerstvo financí reagovalo stanoviskem, že evropské právo dopadá pouze na poskytování evropských dotací. Tento právní názor však neobstojí. Česká republika jako člen Evropské unie je povinna transponovat směrnici Evropského parlamentu a Rady 95/46/ES, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Tato povinnost se nevyčerpává přijetím zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. Ochranu osobních údajů je nutno promítnout rovněž do všech sektorových předpisů, včetně rozpočtových pravidel, jinak Česká republika bude porušovat evropské právo. Integrální součástí evropského práva jsou nejen směrnice a nařízení, ale rovněž rozsudky ESD. Vzhledem k tomu, že v řízení o předběžné otázce ESD závazným způsobem interpretuje evropské právo, je závazný nejen výrok (vlastní odpověď na otázku), ale rovněž odůvodnění, které je jeho podkladem. Mezi ochranou soukromí (čl. 7 Charty), konkrétně ochranou osobních údajů (čl. 8 Charty), a oprávněním na informace (čl. 11 a 42 Charty) může přirozeně vzniknout konflikt. Vzhledem k tomu, že oprávnění na informace je politická svoboda, podléhá testu veřejného zájmu. Jak judikoval rozsudek ESD Rechnungshof v. Österreichischer Rundfunk z 20. 5. 2003, sp. zn. C-465/00, C-38/01 a C-139/01, § 90,3 oprávnění na informace je relativní: „Je třeba dospět k závěru, že zásah, který vyplývá z použití vnitrostátní právní úpravy, jež je předmětem věcí v původních řízeních, není odůvodněný s ohledem na čl. 8 odst. 2 EÚLP, jestliže je široké zveřejnění nejen výše ročních příjmů, pokud tyto přesahují určitý strop, osob zaměstnaných subjekty, jež podléhají dohledu Rechnungshof, ale i jmen poživatelů těchto příjmů, 3

http://eur-lex.europa.eu/LexUriServ/LexUriServ. do?uri=CELEX:62000CJ0465:CS:NOT

Věstník Úřadu pro ochranu osobních údajů 63/2012 zároveň nezbytné a vhodné pro cíl udržet platy v rozumných hranicích, což přísluší posoudit předkládajícím soudům,“ což český zákonodárce v rozpočtových pravidlech ne zcela respektuje. V rozsudku ESD Schecke a Eifert v. Hessensko z 9. 11. 2010, sp. zn. C-92/09 a C-93/09, § 85 věta druhá,4 se konstatuje: „Cíli transparentnosti nelze přitom přiznat automatickou přednost před právem na ochranu osobních údajů […], i když jsou ve hře významné ekonomické zájmy.“ U poskytování dotací je významným závěrem, který řeší konflikt ochrany osobních údajů a oprávnění na informace, Schecke a Eifert v. Hessensko, § 58: „Není zpochybňováno, že částky, které dotčení příjemci dostávají […] představují část, často značnou, jejich příjmů. Zveřejnění jmenovitých údajů o uvedených příjemcích a přesných částkách, které obdrželi, na internetové stránce tak vzhledem k tomu, že se tyto údaje stávají dostupnými třetím osobám, představuje zásah do jejich soukromého života ve smyslu čl. 7 Charty (vizte v tomto smyslu výše uvedený rozsudek Österreichischer Rundfunk a další, §§ 73 a 74).“ Důležitý je rovněž § 81: „Nic totiž nenaznačuje, že Rada a Komise při přijímání čl. 44a nařízení č. 1290/2005 a nařízení č. 259/2008 uvažovaly o takových způsobech zveřejňování informací o dotčených příjemcích, které by odpovídaly cíli takového zveřejňování a přitom by představovaly menší zásah do práva těchto příjemců na respektování jejich soukromého života obecně a konkrétně na ochranu jejich osobních údajů, jako je omezení zveřejnění jmenovitých údajů o uvedených příjemcích podle doby, po kterou podpory dostávali, frekvence podpor nebo jejich typu a výše.“ Promítnutí Schecke a Eifert v. Hessensko do evropského práva řeší stanovisko evropského inspektora ochrany údajů z 9. 10. 2012 Financing, management and monitoring of the common agricultural policy (transparency, post-Schecke).5 Rechnungshof v. Österreichischer Rundfunk tedy vyložil, jak posuzovat přiměřenost zveřejňování osobních údajů příjemců veřejných prostředků, a ve výroku 2 konstatoval, že čl. 6 odst. 1 písm. c), čl. 7 písm. c) a e) směrnice 95/46/ES mají přímý účinek, tj. že se jich jednotlivec může dovolávat před vnitrostátními soudy. Schecke a Eifert v. Hessensko aplikoval tento postup na konkrétní právní předpis. Rozsah zveřejňovaných osobních údajů shledal nepřiměřeným.

Interpretace českých právních norem Vzhledem k výše uvedené evropské judikatuře je nutno výjimku stanovenou v § 18a odst. 2 písm. b) rozpočtových pravidel (který zní: „dokumenty a údaje, o kterých to stanoví přímo použitelný předpis Evropské unie“) vykládat extenzivně, nejen jako konkrétní nařízení EU uvedené v poznámce pod čarou, ale rovněž jako kterýkoliv další právní akt EU,

Strana 3477

tedy také čl. 6 odst. 1 písm. c), čl. 7 písm. c) a e) směrnice 95/46/ES a rozsudky ESD jako relevantní prameny práva. Ustanovení § 5 odst. 3 zákona o ochraně osobních údajů zní: „Provádí-li správce zpracování osobních údajů na základě zvláštního zákona, je povinen dbát práva na ochranu soukromého a osobního života subjektu údajů.“ Na základě principu proporcionality by drobné dotace nebo návratné finanční výpomoci konkrétním lidem neměly být zveřejňovány vůbec, protože ochrana soukromí převáží nad oprávněním na informace. Z § 8b odst. 3 zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů, který upravuje poskytování informací o příjemcích veřejných prostředků, lze dovodit, že u větších dotací nebo návratných finančních výpomocí fyzickým osobám se poskytnou tyto druhy osobních údajů: „jméno, příjmení, rok narození, obec, kde má příjemce trvalý pobyt, výše, účel a podmínky poskytnutých veřejných prostředků“, neboť na základě principu proporcionality má tato obecná úprava přednost před zvláštní v § 18a rozpočtových pravidel. S ohledem na dvě výše uvedená zákonná ustanovení se nezveřejňuje rodné číslo, neboť by to představovalo zbytečný zásah do soukromí příjemce dotace nebo návratné finanční výpomoci.6 Obdobně by mělo být přistupováno k jiným identifikátorům jako je bydliště nebo místo trvalého pobytu, neboť paušální zveřejnění ani těchto osobních údajů není nezbytné pro dosažení deklarovaného cíle této právní úpravy. Ze systematického výkladu § 18a odst. 2 rozpočtových pravidel dále vyplývá, že ve zveřejňovaných dokumentech by se neměly objevovat osobní údaje třetích osob. Je tedy nutné postupovat analogicky § 8a zákona o svobodném přístupu k informacím, který zní: „Informace týkající se osobnosti, projevů osobní povahy, soukromí fyzické osoby a osobní údaje povinný subjekt poskytne jen v souladu s právními předpisy, upravujícími jejich ochranu.“ Tyto údaje je třeba ze zveřejňovaných dokumentů buď zcela odstranit, nebo alespoň jinak znepřístupnit.

Závěr Úřad je připraven poskytnout ochranu oprávněním jednotlivců, kteří by se proti § 18a odst. 2 rozpočtových pravidel dovolávali aplikace § 5 odst. 3 zákona o ochraně osobních údajů či přímého účinku čl. 6 odst. 1 písm. c), čl. 7 písm. c) a e) směrnice 95/46/ES a považovali rozsah zveřejněných osobních údajů za nepřiměřený pro rozpor s oprávněním na ochranu soukromí. 6

4

http://eur-lex.europa.eu/LexUriServ/LexUriServ. do?uri=CELEX:62009CJ0092:CS:NOT

5

http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/ shared/Documents/Consultation/Opinions/2012/12-10-09_ CAP_EN.pdf

Z čl. 8 odst. 7 směrnice 95/46/ES vyplývá, že rodné číslo je údaj blízký citlivému.

Poznámka: Publikované stanovisko je také k dispozici na internetové adrese Úřadu www.uoou.cz v rubrice Názory Úřadu/Stanoviska.

Strana 3478


III. SDĚLENÍ ÚŘADU PRACOVNÍ SKUPINA PRO OCHRANU ÚDAJš ZŏÍZENÁ PODLE þLÁNKU 29

00727/12/CS WP 192

Stanovisko þ. 02/2012 k rozpoznávání tváĜe u on-line a mobilních služeb

PĜijaté dne 22. bĜezna 2012

Tato pracovní skupina byla ustavena podle þlánku 29 smČrnice 95/46/ES. Jedná se o nezávislý evropský poradní orgán ve vČci ochrany údajĤ a soukromí. Její úkoly jsou popsány v þlánku 30 smČrnice 95/46/ES a þlánku 15 smČrnice 2002/58/ES. Sekretariát zajišĢuje Ĝeditelství C (Základní práva a obþanství Unie) Generálního Ĝeditelství pro spravedlnost Evropské komise, 1049 Brusel, Belgie, kanceláĜ þ. MO-59 02/013. Internetová stránka: http://ec.europa.eu/justice/data-protection/index_cs.htm


Strana 3479

1. Úvod V posledních letech došlo k rychlému nárĤstu dostupnosti a pĜesnosti technologie rozpoznávání tváĜe. Tato technologie navíc zaþala tvoĜit souþást on-line a mobilních služeb pro úþely identifikace, autentizace/verifikace nebo kategorizace jednotlivcĤ. Tato technologie, která byla kdysi pĜedmČtem sci-fi, je nyní dostupná jak pro veĜejné, tak soukromé subjekty. Jako pĜíklady jejího užití v rámci on-line þi mobilních služeb lze uvést sociální sítČ nebo výrobu chytrých telefonĤ. Schopnost automaticky zachycovat údaje a rozpoznávat tváĜ z digitálního obrazu již byla dĜíve posuzována pracovní skupinou podle þlánku 29 v pracovním dokumentu o biometrii (WP80) a v nedávno zveĜejnČném stanovisku þ. 03/2012 (WP193) o rozvoji biometrických technologií. Rozpoznávání tváĜe se posuzuje v rámci biometrie, neboĢ v mnoha pĜípadech tato technologie pracuje s dostateþnými detaily, které umožĖují jednoznaþnou identifikaci jednotlivce. Stanovisko þ. 03/2012 pĜipomíná: „[biometrie] umožĖuje automatizované stopování, sledování nebo profilování osob, a proto má velký potenciální dopad na soukromí jednotlivcĤ a jejich práva na ochranu údajĤ.“ Tento výrok je obzvláštČ pravdivý v pĜípadČ rozpoznávání tváĜe u on-line a mobilních služeb, kde mĤže být zachycen obraz jednotlivce (s jeho vČdomím nebo bez nČj) a následnČ mĤže dojít k jeho pĜedání na vzdálený server pro další zpracování. Služby on-line, jež jsou þasto vlastnČné a provozované soukromými subjekty, si již vytvoĜily rozsáhlou sbírku obrazĤ, které jim poskytli jejich subjekty sami (formou uploadu). V nČkterých pĜípadech mĤže dojít k poĜízení takových obrazĤ nelegálním zpĤsobem z jiných veĜejných stránek. Takovým zdrojem mĤže být napĜíklad caches u internetových vyhledávaþĤ (search engine caches). Malé mobilní pĜístroje s kamerami s vysokým rozlišením svým uživatelĤm umožĖují zachycovat obrazy a díky neustálému pĜipojení je v reálném þase umísĢovat na on-line službu. V dĤsledku toho jsou uživatelé schopni sdílet tyto obrazy s jinými uživateli nebo provést identifikaci, autentizaci/verifikaci nebo kategorizaci za úþelem získání pĜístupu k dodateþným informacím o známé þi neznámé osobČ, se kterou pĜijdou do styku. Rozpoznávání tváĜe u on-line a mobilních služeb tedy vyžaduje zvláštní pozornost pracovní skupiny podle þlánku 29, neboĢ s použitím této technologie je spojeno mnoho obav, pokud jde o ochranu údajĤ. Smyslem tohoto stanoviska je posoudit právní rámec a nabídnout vhodná doporuþení, která by se mohla uplatnit ve vztahu k užívání technologie rozpoznávání tváĜe v kontextu on-line a mobilních služeb. Toto stanovisko je urþeno evropským a vnitrostátním zákonodárným orgánĤm, správcĤm údajĤ a uživatelĤm uvedených technologií. Není zámČrem tohoto stanoviska opakovat zásady, na nČž se odkazuje ve stanovisku þ. 03/2012. Spíše z nich vychází a aplikuje je pro situaci on-line a mobilních služeb.

2. Definice Technologie rozpoznávání tváĜe není nová. ZároveĖ existuje mnoho jejích definicí a interpretací. Je tudíž užiteþné jasnČ definovat technologii, kterou se toto stanovisko zabývá.

Strana 3480


Digitální obraz: digitální obraz je dvourozmČrné zobrazení v digitální podobČ. Nedávné pokroky v technologii rozpoznávání tváĜe ovšem vyžadují, aby byly k statickým i pohyblivým obrazĤm (tj. fotografie a nahrané þi live video) ještČ pĜidány obrazy trojrozmČrné. Rozpoznávání tváĜe: rozpoznávání tváĜe je automatické zpracování digitálních obrazĤ, která zahrnují tváĜe jednotlivcĤ, za úþelem identifikace, autentizace/verifikace nebo kategorizace1 tČchto jednotlivcĤ. Proces samotného rozpoznávání tváĜe sestává z nČkolika vzájemnČ oddČlených dílþích procesĤ: a) poĜízení obrazu: proces zachycení tváĜe jednotlivce a pĜevedení do digitální podoby (digitální obraz). V rámci on-line a mobilních služeb mĤže být obraz poĜízen i pomocí jiného systému, napĜ. poĜízení fotografie digitálním fotoaparátem a její pĜevedení do on-line služby; b) detekce tváĜe: proces detekce pĜítomnosti tváĜe v rámci digitálního obrazu a oznaþení dané oblasti; c) normalizace: proces, jehož cílem je zahladit variace v oblastech, v nichž byly detekovány tváĜe, napĜ. pĜevedení na standardní velikost, rotace nebo vyrovnání rozmístČní barev; d) extrakce rysĤ: proces izolování a zobrazení opakovatelných a charakteristických rysĤ z digitálního obrazu jednotlivce. Extrakce rysĤ mĤže být holistická2, zamČĜená na urþité rysy3 nebo kombinace obou metod4. Soubor klíþových rysĤ mĤže být uchován pro pozdČjší srovnávání v rámci referenþní šablony5; e) registrace: jestliže je to poprvé, co se jednotlivec setkal se systémem rozpoznávání tváĜe, obraz a/nebo referenþní šablona mohou být uchovány jako záznam pro pozdČjší srovnávání; f) srovnávání: proces mČĜení podobností mezi souborem rysĤ (vzorkem) a souborem již registrovaným v systému. Hlavním smyslem srovnávání je identifikace a autentizace/verifikace. TĜetím úþelem srovnávání je kategorizace, která spoþívá v procesu extrakce rysĤ z obrazu jednotlivce s cílem klasifikovat jej v rámci nČkolika širších kategorií (napĜ. vČk, pohlaví, barva obleþení atd.). Není nutné, aby systém kategorizace zahrnoval i proces registrace.

3. PĜíklady rozpoznávání tváĜe u on-line a mobilních služeb Rozpoznávání tváĜe mĤže být do on-line a mobilních služeb zahrnuto rĤznými zpĤsoby a za rĤznými úþely. V souvislosti s tímto stanoviskem se pracovní skupina podle þlánku 29 soustĜedí na nČkolik rĤzných pĜíkladĤ, jejichž smyslem je poskytnout doplĖující kontext pro právní analýzu. Tyto pĜíklady se týkají užití rozpoznávání tváĜe za úþelem identifikace, autentizace/verifikace a kategorizace. 1 2

3 4 5

Identifikace, autentizace/verifikace nebo kategorizace jsou definovány ve stanovisku þ. 03/2012. Holistická extrakce rysĤ: matematická prezentace celého obrazu, jako napĜíklad ta, jež vychází z analýzy hlavních komponent. Extrakce zamČĜující se na urþité rysy: urþení umístČní zvláštních rysĤ tváĜe, jako jsou oþi, nos a ústa. Taktéž známá jako metoda hybridní extrakce rysĤ. Šablona je ve stanovisku þ. 03/2012 definována jako „(h)lavní rysy extrahované z hrubé formy biometrických údajĤ (napĜ. rozmČry tváĜe v zobrazení), jež jsou uchované pro pozdČjší zpracování namísto uchování samotných hrubých dat.“


3.1.

Strana 3481

Rozpoznávání tváĜe jako prostĜedek identifikace

PĜíklad 1: Služba sociální sítČ (dále jen „SSS“)6 umožĖuje uživatelĤm pĜidat ke svému profilu digitální obraz. Uživatelé navíc mohou nahrávat obrazy, které tak mohou sdílet s jinými registrovanými nebo neregistrovanými uživateli. Registrovaní uživatelé mohou v jimi nahraných obrazech manuálnČ identifikovat jiné jednotlivce (kteĜí mohou nebo nemusí být registrovanými uživateli) a pĜiĜadit jim jmenovku (tag). Tyto jmenovky je možné zobrazit prostĜednictvím tvĤrce jmenovek (tag creator) a sdílet je v širší skupinČ pĜátel nebo všech registrovaných þi neregistrovaných uživatelĤ. SSS dokáže použít obrazy opatĜené jmenovkou pro vytvoĜení referenþní šablony u každého registrovaného uživatele a díky technologii rozpoznávání tváĜe pak automaticky navrhuje jmenovky u novČ nahraných obrazĤ. Takové obrazy jednotlivcĤ, jež jsou veĜejnČ dostupné pro uživatele, by mohly posléze být zpĜístupnČny a uloženy do vyrovnávací pamČti internetového vyhledavaþe. Vyhledávaþ mĤže chtít zvýšit efektivitu svého vyhledávání tím, že umožní uživatelĤm poskytnout obraz jednotlivce, na jehož základČ poskytne podobné obrazy a také odkaz na stránku profilu daného jednotlivce v rámci SSS. Obraz použitý pro hledání pĜitom mĤže být zachycen pĜímo kamerou chytrého telefonu. 3.2.

Rozpoznávání tváĜe jako prostĜedek autentizace/verifikace

PĜíklad 2: Systém rozpoznávání tváĜe se používá k nahrazení uživatelského jména/hesla pro kontrolu pĜístupu k on-line nebo mobilním službám nebo pĜístrojĤm. Pro registraci se využívá kamera pĜístroje k poĜízení obrazu schváleného uživatele pĜístroje a dále vytvoĜená referenþní šablona, která mĤže být uchována pĜímo v pĜístroji, nebo poskytována vzdálenou on-line službou. Pro získání pĜístupu ke službČ nebo k pĜístroji se poĜizuje nový obraz jednotlivce, který se pokouší vstoupit, a ten je porovnán s referenþním obrazem. PĜístup je poskytnut, jestliže systém vyhodnotí schodu. 3.3.

Rozpoznávání tváĜe jako prostĜedek kategorizace

PĜíklad 3: SSS popsaná v pĜíkladu 1 mĤže dát tĜetí stranČ, která provozuje on-line službu rozpoznávání tváĜe, koncesi k pĜístupu do knihovny obrazĤ. Služba umožĖuje zákazníkĤm tĜetí strany zahrnout technologii rozpoznávání tváĜe do dalších produktĤ. Tato další produkty mají funkce, které umožĖují pĜedkládat obrazy jednotlivcĤ za úþelem detekce a kategorizace tváĜí podle stanovených nebo pĜedem definovaných kritérií, napĜ. pravdČpodobný vČk, pohlaví a momentální nálada. PĜíklad 4: Herní konzole užívá pohybového ovladaþe (gesture control system), v rámci kterého se detekují pohyby uživatele za úþelem ovládání hry. Kamera nebo kamery užívané u pohybových ovladaþĤ sdílejí obrazy jednotlivcĤ se systémem rozpoznávání tváĜe, který pĜedvídá pravdČpodobný vČk, pohlaví a náladu hráþĤ hry. Údaje, vþetnČ tČch, co pochází z jiných multimodálních þinitelĤ, poté mohou vést ke zmČnČ prĤbČhu hry tak, že herní zkušenost uživatele je zintenzívnČna, nebo mohou vést ke zmČnČ prostĜedí, které by odráželo pĜedvídaný profil uživatele. Podobným zpĤsobem by systém mohl uživatele tĜídit, aby jim mohl povolit/odmítnout pĜístup k obsahu závislému na vČku nebo aby jim mohl uvnitĜ hry zobrazit cílenou reklamu. 6

Služba sociální sítČ je široce definována ve stanovisku þ. 05/2009 o on-line sociálních sítích jako „komunikaþní platforma v on-line prostĜedí, která jednotlivcĤm umožĖuje pĜipojit se k sítím podobnČ smýšlejících uživatelĤ nebo takové sítČ vytváĜet“.


Strana 3482

4. Právní rámec PĜíslušným právním rámcem pro rozpoznávání tváĜe je smČrnice o ochranČ údajĤ (95/46/ES), o které se v této souvislosti diskutovalo ve stanovisku þ. 03/2012. Tento oddíl má za cíl pouze shrnout právní rámec související s rozpoznáváním tváĜe u on-line a mobilních služeb, a to na základČ pĜíkladĤ uvedených v oddíle 3. Ve stanovisku þ. 03/2012 se posuzují i další pĜíklady rozpoznávání tváĜe. 4.1. Digitální obrazy coby osobní údaje V momentČ, kdy digitální obraz zahrnuje tváĜ jednotlivce, která je zĜetelná a umožĖuje jeho identifikaci, považuje se za osobní údaj. To bude záležet na nČkolika parametrech, jako napĜíklad kvalita obrazu nebo zvláštní úhel pohledu. Obrazy situací, na kterých jsou jednotlivci v dálce nebo tváĜe jsou rozmazané, vesmČs pravdČpodobnČ nebudou považovány za osobní údaje. Je ovšem nutné dodat, že digitální obrazy mohou obsahovat osobní údaje více než jednoho jednotlivce (napĜ. pokud jde o pĜíklad 4, v herním rámci mĤže být vícero hráþĤ) a pĜítomnost jiných jednotlivcĤ na fotografii mĤže naznaþovat existující vztah. Stanovisko þ. 04/2007 k pojmu osobní údaje znovu zdĤrazĖuje fakt, že v pĜípadČ, že údaje odkazují na „charakteristické znaky nebo chování jednotlivce nebo pokud použití tČchto informací urþuje nebo ovlivĖuje zpĤsob zacházení s touto osobou nebo zpĤsob jejího hodnocení“, pak se taktéž jedná o osobní údaje. Referenþní šablona vytvoĜená z obrazu jednotlivce je z definice taktéž osobním údajem, neboĢ obsahuje soubor charakteristických rysĤ tváĜe jednotlivce, který je poté vztažen ke konkrétnímu jednotlivci a uchován jako reference pro pozdČjší srovnávání v rámci identifikace a autentizace/verifikace. Šablony nebo soubory charakteristických rysĤ využívané pouze pro systém kategorizace obecnČ neobsahují dostateþnČ informací k identifikaci jednotlivce. MČly by obsahovat pouze tolik informací, jež jsou nutné k provedení kategorizace (napĜ. muž, nebo žena). V tomto pĜípadČ by se nejednalo o osobní údaje za pĜedpokladu, že šablona (nebo výsledek) nebude vztažena k záznamu, profilu nebo originálnímu obrazu jednotlivce (které stále budou považovány za osobní údaje). Digitální obrazy jednotlivcĤ a šablony, které souvisí s „biologickými vlastnostmi, prvky chování, fyziologickými rysy, znaky živého organismu nebo opakovatelnými úkony, které jsou jedineþné pro daného jednotlivce a souþasnČ mČĜitelné“7, by navíc mČly být považovány za biometrické údaje. 4.2. Digitální obrazy coby zvláštní kategorie osobních údajĤ Digitální obrazy osob mohou být v nČkterých specifických pĜípadech považovány za zvláštní kategorii osobních údajĤ8. KonkrétnČ v pĜípadech, kdy jsou digitální obrazy jednotlivcĤ nebo šablony dále zpracovávány pro odvození zvláštních kategorií údajĤ, se takové digitální obrazy jednotlivcĤ nebo šablony budou považovat za zvláštní kategorii osobních údajĤ. Pokud budou napĜíklad použity za úþelem zjištČní etnického pĤvodu, náboženství nebo informací o zdravotním stavu. 7 8

Definice biometrických údajĤ ze stanoviska þ. 03/2012. Judikatura v nČkterých zemích oznaþuje digitální obrazy tváĜí za zvláštní kategorie údajĤ – LJN BK6331 nizozemský vrchní soud, 23. bĜezna 2010.


Strana 3483

4.3. Zpracovávání osobních údajĤ v souvislosti se systémem rozpoznávání tváĜe Jak již bylo popsáno, rozpoznávání tváĜe závisí na nČkolika automatizovaných fázích zpracování. Rozpoznávání tváĜe tudíž pĜedstavuje automatizovanou formu zpracovávání osobních údajĤ, vþetnČ biometrických údajĤ. Systémy rozpoznávání tváĜe mohou být v dĤsledku využívání biometrických údajĤ pĜedmČtem dodateþných kontrol (napĜ. schvalování ex ante) nebo jiných právních pĜedpisĤ (napĜ. pracovnČprávní pĜedpisy) v jednotlivých þlenských státech. Užitím biometrie v souvislosti se zamČstnáním se podrobnČji zabývá stanovisko þ. 03/2012. 4.4. Správce údajĤ Na základČ zmínČných pĜíkladĤ budou správci údajĤ vČtšinou vlastníci internetových stránek a/nebo poskytovatelé on-line služeb þi provozovatelé mobilních aplikací, kteĜí se zabývají rozpoznáváním tváĜe a urþují úþely a/nebo prostĜedky zpracování9. Toto konstatování odpovídá závČrĤm stanoviska þ. 05/2009 o internetových sociálních sítích, podle kterého „poskytovatelé SSS jsou správci údajĤ podle smČrnice o ochranČ údajĤ“. 4.5. OprávnČný dĤvod SmČrnice 95/46/ES stanoví podmínky, které musejí být pĜi zpracovávání osobních údajĤ splnČny. To znamená, že zpracovávání musí být v prvé ĜadČ v souladu se zásadami pro kvalitu údajĤ (þlánek 6). Pro úþely zpracovávání rozpoznávání tváĜe musí být digitální obrazy jednotlivcĤ a pĜíslušné šablony v tomto pĜípadČ „podstatné“ a „nepĜesahující míru“. Zpracování se mĤže kromČ toho uskuteþnit pouze v pĜípadČ, kdy je splnČno jedno z kritérií specifikovaných v þlánku 7. Vzhledem k zvláštnímu riziku souvisejícímu s biometrickými údaji je v souladu se smČrnicí nutný vČdomý souhlas jednotlivce, který musí být získán ještČ pĜed zaþátkem zpracovávání digitálních obrazĤ pro úþely rozpoznávání tváĜe. MĤže se však stát, že správce údajĤ bude muset doþasnČ provést urþité kroky v procesu rozpoznávání tváĜe pĜesnČ za tím úþelem, aby posoudil, zda uživatel dal souhlas, který je právním základem pro zpracování údajĤ, þi jej nedal. Toto poþáteþní zpracování (tj. poĜízení obrazu, detekce tváĜe, srovnání atd.) se mĤže v takovém pĜípadČ opírat o odlišný právní základ, který zejména souvisí s legitimním zájmem správce údajĤ na plnČní pravidel pro ochranu údajĤ. Údaje zpracované bČhem tČchto fází by mČly být použity pouze pro pĜísnČ omezený úþel ovČĜení souhlasu uživatele a mČly by být tudíž poté ihned smazány. V pĜíkladu 1 správce údajĤ rozhodl, že všechny nové obrazy nahrané registrovanými uživateli SSS by mČly projít detekcí tváĜe, procesem extrakce rysĤ a srovnáním. Shoda s tČmito novými obrazy bude nalezena pouze u registrovaných uživatelĤ, jejichž referenþní šablona je zaregistrována v identifikaþní databázi. Jmenovka u nich bude tudíž navrhována automaticky. Jestliže by mČl být souhlas jednotlivce považován za jediný možný právní základ pro každé zpracování, celá služba by byla zablokována, neboĢ zde napĜíklad neexistuje možnost získat souhlas od neregistrovaných uživatelĤ, jejichž osobní údaje byly zpracovány bČhem fáze detekce tváĜe a extrakce rysĤ. Bez toho, aby bylo nejprve provedeno rozpoznání tváĜe, by nebylo navíc možné rozlišit mezi tváĜemi registrovaných uživatelĤ, kteĜí dali svĤj souhlas, a tČmi, kteĜí jej nedali. Teprve až po úspČšné (nebo neúspČšné) identifikaci by správce údajĤ mohl urþit, zda pro to þi ono zpracování údajĤ má k dispozici Ĝádný souhlas, þi nikoli. 9

Viz stanovisko þ. 01/2010 k pojmĤm „správce“ a „zpracovatel“.

Strana 3484


JeštČ pĜed nahráním obrazĤ do SSS musí být registrovaní uživatelé jasnČ uvČdomeni o tom, že tyto obrazy budou pĜedmČtem systému rozpoznávání tváĜe. Je ještČ dĤležitČjší, aby registrovaným uživatelĤm byla také povinnČ dána možnost vyjádĜit (ne)souhlas s tím, že jejich referenþní šablona bude zaregistrována do identifikaþní databáze. U neregistrovaných a registrovaných uživatelĤ, kteĜí nedali souhlas se zpracováním, by tedy nemČlo docházet k automatickému navrhování jmenovky, protože obrazy, na kterých se objeví, nebudou vykazovat shodu. Souhlas poskytnutý osobou nahrávající obraz by se nemČl zamČĖovat s potĜebou legitimního základu pro zpracování osobních údajĤ jiných jednotlivcĤ, kteĜí se mohou na obrazu objevit. Za tímto úþelem mĤže správce údajĤ použít jiné legitimní odĤvodnČní pro zpracování v rámci mezistupĖových fází (detekce tváĜe, normalizace a srovnání), napĜíklad svĤj legitimní zájem, pokud jsou ovšem zavedeny dostateþné omezení a kontroly k ochranČ základních práv a svobod subjektĤ údajĤ, kteĜí nejsou tČmi, kdo obraz nahrává. Takové kontroly by zajistily, že žádné údaje pocházející ze zpracování nebudou po té, co nebyla zjištČna shoda, nijak uchovány (tj. všechny šablony a pĜidružené údaje budou bezpeþnČ vymazány). Správce údajĤ taktéž mĤže chtít zvážit možnost poskytnout svým uživatelĤm nástroje, které osobČ nahrávající obraz umožní rozmazat tváĜe tČch jednotlivcĤ, u kterých nebude nalezena shoda s šablonou v referenþní databázi. Registrace šablony jednotlivce v identifikaþní databázi, což by ve svém dĤsledku umožnilo nalézt shodu a následnČ navrhnout jmenovku, by byla možná pouze s vČdomým souhlasem subjektu údajĤ. Pokud jde o pĜíklad 2, je zcela jistČ možné získat souhlas jednotlivce, který je schválen pro pĜístup k pĜístroji, již bČhem procesu registrace. Aby byl souhlas platný, musí být k dispozici alternativní a stejnČ bezpeþný systém kontroly pĜístupu (napĜíklad silné heslo). Taková alternativní možnost, jež zesiluje aspekt soukromí, by mČla být nastavena jako výchozí funkce. Jakmile se jednotlivec sám uvede pĜed kameru propojenou s pĜístrojem s jasným cílem k nČmu získat pĜístup, mĤžeme se domnívat, že tento jednotlivec tím poskytuje souhlas pro následné zpracování údajĤ o tváĜi nutné pro autentizaci, a to i za pĜedpokladu, že tento jednotlivec není schváleným uživatelem pĜístroje. ÚroveĖ poskytnutých informací však stále musí být dostateþná pro zajištČní platnosti souhlasu. Další využití knihovny obrazĤ SSS popsané v pĜíkladu 3 by bylo jasným pĜípadem porušením zásady úþelového omezení, a tudíž nabídnutí takové služby musí být podmínČno apriorním platným souhlasem jednotlivce, ze kterého bude jasnČ zĜejmé, že dojde k uvedenému zpracování obrazĤ. Týká se to také pĜípadu vyhledávaþe popsaného v pĜíkladu 1. Obrazy, které vyhledávaþ získal, byly zobrazeny s úmyslem zhlédnutí a nikoli pro úþely systému rozpoznávání tváĜe. Po provozovateli vyhledávaþe by se požadovalo, aby od subjektĤ dat získal souhlas k tomu, že budou registrováni v druhém systému rozpoznávání tváĜe. Týkalo by se to také pĜípadu uvedeného v pĜíkladu 4, neboĢ uživatel nemĤže pĜedpokládat, že obrazy poĜízené pro úþely ovládání pohybu budou dále zpracovávány. Jestliže správce údajĤ požaduje souhlas pro zpracovávání z dlouhodobého hlediska (tj. po dlouhou dobu nebo v rámci rĤzných her), musí tento správce uživatelĤm pravidelnČ pĜipomínat, je-li tento systém v provozu, a zároveĖ musí dbát o to, aby byl systém ve výchozím nastavení vypnut. Stanovisko þ. 15/2011 k definici souhlasu se zabývá kvalitou, pĜístupností a viditelností informací, jež souvisí se zpracováním osobním údajĤ. Stanovisko Ĝíká: „informace musí být poskytovány pĜímo fyzickým osobám. Nestaþí, aby byly informace nČkde „k dispozici“.


Strana 3485

Informace týkající se funkce rozpoznávání tváĜe u on-line nebo mobilní služby by tudíž nemČly být skryty, ale naopak by mČly být jednoduše pĜístupné a srozumitelné. To zahrnuje i záruku, že samotné kamery nejsou nijak skryté. Správci údajĤ by mČly pĜi uplatĖování technologie rozpoznávání tváĜe zohlednit odĤvodnČná oþekávání veĜejnosti ohlednČ soukromí a mČly by se tČmito otázkami ĜádnČ zabývat. V této souvislosti není možné souhlas s registrací vyvodit na základČ toho, že uživatel pĜijal obecné podmínky dotyþné služby, kromČ pĜípadĤ, kdy hlavním smyslem služby má být rozpoznávání tváĜe. Je tomu tak proto, že ve vČtšinČ pĜípadĤ je registrace dodateþnou funkcí a není pĜímo spojená s používáním on-line nebo mobilní služby. Uživatelé nemusí nutnČ pĜedpokládat, že tato funkce bude použitím služby aktivována. Za tímto úþelem by mČla být uživatelĤm jasnČ dána možnost vyjádĜit s touto funkcí souhlas, a to buć bČhem registrace, nebo pozdČji v závislosti na tom, kdy je funkce spuštČna. Aby mohl být souhlas považován za platný, musí být poskytnuty adekvátní informace o zpracování údajĤ. Uživatelé by vždy mČli mít k dispozici možnost svĤj souhlas jednoduše stáhnout. Jakmile by byl souhlas stažen, zpracování pro úþely rozpoznávání tváĜe by mČlo okamžitČ pĜestat.

5. Konkrétní rizika a doporuþení Rizika pro soukromí plynoucí ze systému rozpoznávání tváĜe budou zcela odvislá od druhu uplatnČného zpracování a jeho úþelu/úþelĤ. V konkrétních fázích procesu rozpoznávání tváĜe jsou však nČkterá rizika více relevantní. Následující oddíl staví do popĜedí hlavní rizika a nabízí pĜíslušná doporuþení pro osvČdþené zpĤsoby. 5.1. Nezákonné zpracování za úþelem rozpoznávání tváĜe V rámci nastavení on-line mĤže správce údajĤ obrazy získávat mnoha zpĤsoby. Mohou je poskytnout uživatelé on-line nebo mobilních služeb, jejich pĜátelé a kolegové nebo tĜetí strana. Obrazy mohou obsahovat tváĜe samotných uživatelĤ a/nebo jiných registrovaných þi neregistrovaných uživatelĤ nebo mohou být získány, aniž by o tom subjekt údajĤ vČdČl. Bez ohledu na možné zpĤsoby získání tČchto obrazĤ je nutný právní základ pro jejich zpracování. Doporuþení 1: Jestliže správce údajĤ obraz získá pĜímo od subjektu údajĤ (napĜ. tak, jak je uvedeno v pĜíkladech 2 a 4), musí disponovat jejich platným souhlasem ještČ pĜed získáním obrazu a poskytnout dostateþné informace o tom, kdy je spuštČna kamera za úþelem rozpoznávání tváĜe. Doporuþení 2: Jestliže jsou to jednotlivci, kdo poĜizuje digitální obrazy a nahrává je do online nebo mobilních služeb za úþelem rozpoznávání tváĜe, správci údajĤ musí zajistit, aby osoby nahrávající obrazy vyjádĜily souhlas se zpracováním obrazĤ, které se mĤže uskuteþnit za úþelem rozpoznávání tváĜe. Doporuþení 3: Jestliže správci údajĤ digitální obrazy jednotlivcĤ získají od tĜetí strany (napĜ. zkopírováním z internetové stránky, zakoupením od jiného správce údajĤ), musí peþlivČ zhodnotit zdroj a kontext, v nČmž byly originální obrazy poĜízeny, a ujistit se, že obrazy byly zpracovány se souhlasem subjektu údajĤ.

Strana 3486


Doporuþení 4: Správci údajĤ musí zaruþit, že digitální obrazy a šablony budou použity pouze pro onen specifický úþel, pro který byly poskytnuty. Správci údajĤ by mČly zavést technické kontroly, aby se snížilo riziko, že digitální obrazy budou dále zpracovávány tĜetí stranou pro úþely, k nimž uživatelé nedali souhlas. Správci údajĤ by mČli dát uživatelĤm k dispozici nástroje pro kontrolu viditelnosti obrazĤ, které nahráli, a zároveĖ upravit výchozí nastavení tak, že tyto obrazy nebudou pĜístupné tĜetím stranám. Doporuþení 5: Správci údajĤ musí zaruþit, že digitální obrazy jednotlivcĤ, kteĜí nejsou registrovanými uživateli služby nebo nijak neposkytli souhlas se zpracováním obrazĤ, budou ze strany správce údajĤ zpracovávány jenom, pokud bude mít správce legitimní zájem tak þinit. V pĜíkladu 1 za situace, kdy není nalezena shoda, by tedy bylo napĜíklad nutné zpracovávání zastavit a všechny údaje vymazat.

Narušení bezpeþnosti bČhem transferu údajĤ U on-line a mobilních služeb je pravdČpodobné, že bude mezi fází získání obrazu a dalšími fázemi jeho zpracování (napĜ. nahrání obrazu z kamery na internetovou stránku pro extrakci rysĤ a srovnání) docházet k transferu údajĤ. Doporuþení 6: Správci údajĤ musí uþinit vhodná opatĜení k zajištČní bezpeþnosti transferu údajĤ. Vhodnými opatĜeními mohou být zakódování komunikaþních kanálĤ nebo zakódování obrazu samotného. MČla by být, pokud možno (a zejména v pĜípadČ autentizace/verifikace), dána pĜednost lokálnímu zpracování.

5.2. Detekce tváĜe, normalizace, extrakce rysĤ Minimalizace údajĤ Šablony, které vytvoĜí systém rozpoznávání tváĜe, mohou obsahovat více údajĤ, než je nezbytnČ nutné pro provedení specifického úþelu nebo úþelĤ. Doporuþení 7: Správci údajĤ musí zajistit, že údaje extrahované z digitálního obrazu pro vytvoĜení šablony nebudou nadmČrné a budou obsahovat pouze ty informace, jež jsou nezbytné pro specifický úþel, pĜiþemž by se tak mČlo zabránit dalšímu možnému zpracovávání. Šablony by nemČly být mezi systémy rozpoznávání tváĜe pĜevoditelné.

Narušení bezpeþnosti bČhem uchovávání údajĤ Pokud jde o identifikaci a autentizaci/verifikaci, je pravdČpodobné, že bude nutné šablony uchovávat pro pozdČjší srovnávání. Doporuþení 8: Správce údajĤ musí zvážit nejvhodnČjší umístČní pro uchované údaje. Vhodným místem mĤže být pĜístroj uživatele nebo systémy správy údajĤ. Správce údajĤ musí uþinit vhodná opatĜení k zajištČní bezpeþnosti uchovaných údajĤ. Vhodným opatĜením mĤže být zakódování šablony. NemČlo by být možné získat k šablonČ nebo uchovaným údajĤm neschválený pĜístup. Zejména co se týþe rozpoznávání tváĜe za úþelem verifikace, je možné použít metody biometrického kódování; u tČchto metod je kryptografický klíþ pĜímo svázán s biometrickými údaji a vytvoĜí se znovu pouze tehdy, když je verifikován správný živý biometrický vzorek, zatímco se neuchovává žádný obraz nebo šablona (tím se tvoĜí druh „nevystopovatelné biometrie“).


Strana 3487

PĜístup subjektu Doporuþení 9: Správce údajĤ by mČl subjektĤm údajĤ poskytnout vhodné mechanismy pro zajištČní práva na pĜípadný pĜístup jak k originálním obrazĤm, tak k šablonám vytvoĜeným v souvislosti s rozpoznáváním tváĜe.

V Bruselu dne 22. bĜezna 2012

Za pracovní skupinu pĜedseda Jakob KOHNSTAMM

Strana 3488


IV. MATERIÁLY Z ÚŘEDNÍHO VĚSTNÍKU EVROPSKÉ UNIE

Příloha Věstníku Úřádu pro ochranu osobních údajů (s. 3489 ‒ 3496)

CS

1.2.2011

Úřední věstník Evropské unie


ROZHODNUTÍ KOMISE

L 27/39 Strana 3489

ze dne 31. ledna 2011 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající ochraně osobních údajů Státem Izrael v souvislosti s automatizovaným zpracováváním osobních údajů (oznámeno pod číslem K(2011) 332) (Text s významem pro EHP)

(2011/61/EU) EVROPSKÁ KOMISE,

(5)

Právní řád Státu Izrael nemá psanou ústavu, avšak ústavní sílu dovodil Nejvyšší soud Státu Izrael u některých „základních zákonů“. Tyto „základní zákony“ doplňuje objemný soubor judikatury, jelikož se právní řád Izraele ve značném rozsahu řídí zásadami obyčejo vého práva. Právo na soukromí je zahrnuto v „základním zákonu o právu na lidskou důstojnost a svobodu“ v oddíle 7.

(6)

Právní normy upravující ochranu osobních údajů ve Státě Izrael vycházejí ve velké míře z norem stanovených směrnicí 95/46/ES a jsou stanoveny v zákoně o ochraně soukromí 5741-1981, naposledy pozmě něném v roce 2007 za účelem zavedení nových poža davků na zpracování osobních údajů a podrobné organi zace orgánu dozoru.

(7)

Tyto právní předpisy v oblasti ochrany údajů dále doplňují vládní rozhodnutí provádějící zákon o ochraně soukromí 5741-1981 a o organizaci a fungování orgánu dozoru, která povětšinou vycházejí z doporučení formu lovaných ve zprávě Komise pro přezkum právních před pisů týkajících se databází (Schoffmanova zpráva) pro ministerstvo spravedlnosti.

s ohledem na Smlouvu o fungování Evropské unie,

s ohledem na směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (1), a zejména na čl. 25 odst. 6 uvedené směrnice,

po konzultaci s evropským inspektorem ochrany údajů,

vzhledem k těmto důvodům:

(1)

V souladu se směrnicí 95/46/ES jsou členské státy povinny zajistit, aby k předávání osobních údajů do třetí země docházelo, pouze pokud dotyčná třetí země zajišťuje odpovídající úroveň ochrany a pokud jsou před předáním údajů dodržovány právní předpisy členských států provádějící ostatní ustanovení směrnice.

(2)

Komise může dospět k závěru, že třetí země zajišťuje odpovídající úroveň ochrany. Takové zemi mohou členské státy předávat osobní údaje, aniž by byly nutné dodatečné záruky.

(8)

Ustanovení ohledně ochrany údajů jsou rovněž obsažena v celé řadě právních nástrojů upravujících různá odvětví, jako jsou předpisy ve finančním sektoru, ve zdravotnictví a předpisy týkající se veřejných rejstříků.

(3)

V souladu se směrnicí 95/46/ES má být úroveň ochrany údajů hodnocena s ohledem na všechny okolnosti souvi sející s předáním nebo předáváním údajů, a to se zvláštním zřetelem na celou řadu podmínek týkajících se předávání a uvedených v článku 25 této směrnice.

(9)

(4)

S ohledem na rozdíly v přístupu třetích zemí k ochraně údajů by mělo být dbáno na to, aby hodnocení odpoví dající úrovně této ochrany a uplatňování všech rozhod nutí na základě čl. 25 odst. 6 směrnice 95/46/ES nebyla svévolně nebo neodůvodněně diskriminační vůči třetím zemím, kde jsou obdobné podmínky, nebo mezi nimi, a aby nevytvářela skrytou překážku obchodu s ohledem na stávající mezinárodní závazky Evropské unie.

Právní normy v oblasti ochrany údajů platné ve Státě Izrael pokrývají všechny základní zásady nutné pro odpo vídající úroveň ochrany pro fyzické osoby ve vztahu k zpracování osobních údajů automatizovanými databá zemi. Kapitola 2 zákona o ochraně soukromí 57411981, která stanoví zásady zpracování osobních údajů, se nevztahuje na zpracování osobních údajů v databázích, které nejsou automatizované (manuální databáze).

(10)

Uplatňování právních norem ochrany osobních údajů zaručují správní a soudní prostředky nápravy a nezávislý dozor prováděný dozorčím orgánem, jímž je Izraelský úřad pro právo, informace a technologie (ILITA), který je nadán pravomocemi k provádění šetření a zásahů a je zcela nezávislý.

(1) Úř. věst. L 281, 23.11.1995, s. 31.

L 27/40

CS


Strana 3490 Izraelské orgány pro ochranu osobních údajů poskytly vysvětlení a záruky ohledně způsobu výkladu izraelského práva a poskytly záruky ohledně provádění izraelských předpisů na ochranu údajů v souladu s takovým výkladem. Toto rozhodnutí přihlíží k uvedeným vysvět lením a zárukám, a je jimi proto podmíněno.

(11)

(16)

1.2.2011

Věstník Úřadu pro ochranu osobních údajů 63/2012 Výbor zřízený podle čl. 31 odst. 1 směrnice 95/46/ES nepředložil stanovisko ve lhůtě stanovené jeho před sedou,

PŘIJALA TOTO ROZHODNUTÍ: (12)

Stát Izrael je proto třeba považovat za zemi zajišťující odpovídající úroveň ochrany osobních údajů podle směr nice 95/46/ES, pokud jde o automatizované mezinárodní předávání osobních údajů z Evropské unie do Státu Izrael nebo o případy, kdy toto předávání není automatizo váno, avšak tyto údaje jsou předmětem dalšího automati zovaného zpracování ve Státě Izrael. Opačně, na mezi národní předávání osobních údajů z EU do Státu Izrael, u kterého samo předávání a následné zpracování je prováděno výlučně neautomatizovanými prostředky, by se toto rozhodnutí nemělo vztahovat.

(13)

V zájmu průhlednosti a aby příslušné orgány v členských státech zajistily ochranu fyzických osob v souvislosti se zpracováním jejich osobních údajů, je nezbytné uvést výjimečné okolnosti, za nichž může být odůvodněno pozastavení určitých toků údajů, bez ohledu na zjištění odpovídající úrovně ochrany.

(14)

Závěry týkající se úrovně ochrany osobních údajů v tomto rozhodnutí odkazují na Stát Izrael vymezený podle mezinárodní práva. Další následné předávání příjemci mimo Stát Izrael vymezený podle mezinárod ního práva by mělo být považováno za předávání osob ních údajů do třetí země.

(15)

Pracovní skupina pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů, zřízená podle článku 29 směrnice 95/46/ES, předložila kladné stanovisko k úrovni ochrany osobních údajů, pokud jde o automatizované mezinárodní předávání osobních údajů z Evropské unie, nebo o případy, kdy předávání není automatizované, avšak tyto údaje jsou předmětem dalšího automatizovaného zpracování ve Státě Izrael. Ve svém kladném stanovisku pracovní skupina vyzvala izraelské úřady, aby přijaly další ustanovení, která rozšíří uplatňování izraelských právních předpisů na manuální databáze, výslovně uznají, že bude uplatňování zásada proporcionality na zpracování osobních údajů v soukromé sféře, a která budou vykládat výjimky při mezinárodním předávání tak, aby byl jejich výklad v souladu s požadavky stanovenými v jejím „pracovním dokumentu o jednotném výkladu čl. 26 odst. 1 směrnice 95/46/ES“ (1). Toto stanovisko bylo zohledněno při přípravě toho rozhodnutí (2).

(1) Dokument WP114 ze dne 25. listopadu 2005. K dispozici na inter netové stránce: http://ec.europa.eu/justice_home/fsj/privacy/docs/ wpdocs/2005/wp114_en.pdf 2 ( ) Stanovisko 6/2009 k úrovni ochrany osobních údajů v Izraeli. K dispozici na internetové stránce http://ec.europa.eu/justice_home/ fsj/privacy/docs/wpdocs/2009/wp165_en.pdf

Článek 1 1. Pro účely čl. 25 odst. 2 směrnice 95/46/ES se Izrael pova žuje za zemi poskytující odpovídající úroveň ochrany osobních údajů předávaných z Evropské unie, pokud jde o automatizované předávání osobních údajů z Evropské unie do Izraele nebo o případy, kdy toto předávání není automati zováno, avšak tyto údaje jsou předmětem dalšího automatizo vaného zpracování ve Státě Izrael.

2. Orgánem dozoru Státu Izrael, který má pravomoc uplat ňovat normy ochrany osobních údajů ve Státě Izrael, je Izra elský úřad pro právo, informace a technologie (ILITA) uvedený v příloze tohoto rozhodnutí.

Článek 2 1. Toto rozhodnutí se zabývá pouze úrovní ochrany zajišťo vané ve Státě Izrael vymezeném podle mezinárodního práva s cílem naplnit požadavky čl. 25 odst. 1 směrnice 95/46/ES a nedotýká se ostatních podmínek nebo omezení provádějících ostatní ustanovení zmíněné směrnice, které se vztahují na zpra cování osobních údajů v členských státech.

2. Toto rozhodnutí se použije v souladu s mezinárodním právem. Rozhodnutím není dotčen status Golanských výšin, pásma Gazy a Západního břehu Jordánu, včetně východního Jeruzaléma podle mezinárodního práva.

Článek 3 1. Aniž jsou dotčeny pravomoci příslušných orgánů člen ských států přijímat opatření, která zajišťují, aby byly dodržo vány vnitrostátní předpisy přijaté na základě jiných ustanovení než článku 25 směrnice 95/46/ES, mohou tyto orgány vyko návat své stávající pravomoci, aby pozastavily předávání údajů příjemci ve Státě Izrael s cílem chránit fyzické osoby v souvislosti se zpracováním jejich osobních údajů v těchto případech:

a) pokud příslušný izraelský orgán zjistí, že příjemce nedo držuje standardy uplatňované v oblasti ochrany, nebo

1.2.2011

CS



b) pokud je velmi pravděpodobné, že nebyly dodržovány normy týkající se ochrany, pokud se lze důvodně domnívat, že příslušný orgán Státu Izrael včas nepřijal nebo nepřijme odpovídající opatření nezbytná pro vyřešení dané věci; pokud by pokračování v předávání údajů vyvolalo bezpro střední riziko vzniku vážné újmy subjektům údajů a pokud příslušné orgány členského státu za daných okolností přimě řeně usilují o informování strany odpovědné za zpracování údajů usazené ve Státě Izrael a poskytly jí příležitost zauj mout stanovisko. 2. Pozastavení předávání údajů skončí, jakmile je zajištěno dodržování norem ochrany a jakmile je o této skutečnosti infor mován příslušný orgán členského stát.

L 27/41

Strana 3491 postupem podle čl. 31 odst. 2 směrnice 95/46/ES s cílem zrušit toto rozhodnutí, pozastavit je nebo omezit jeho oblast působ nosti.

Článek 5 Komise sleduje provádění tohoto rozhodnutí a jakékoli před mětné poznatky sdělí výboru zřízenému podle článku 31 směr nice 95/46/ES, včetně jakýchkoliv důkazů, které by mohly mít vliv na hodnocení prováděné podle článku 1 tohoto rozhodnutí, zda je úroveň ochrany ve Státě Izrael odpovídající ve smyslu článku 25 směrnice 95/46/ES, a jakýchkoliv důkazů, že se toto rozhodnutí provádí diskriminačním způsobem. Komise zejména sleduje zpracovávání osobních údajů v manuálních databázích. Článek 6

Článek 4 1. Členské státy neprodleně uvědomí Komisi o přijetí opatření podle článku 3. 2. Členské státy a Komise se rovněž vzájemně informují o případech, kdy opatření přijatá subjekty pověřenými zajiš těním dodržování norem ochrany ve Státě Izrael nejsou dosta tečná.

Členské státy přijmou veškerá opatření, která jsou nezbytná pro dosažení souladu s tímto rozhodnutím, do tří měsíců od data jeho oznámení. Článek 7 Toto rozhodnutí je určeno členským státům.

V Bruselu dne 31. ledna 2011. 3. Pokud informace shromážděné podle článku 3 a podle odstavců 1 a 2 tohoto článku prokážou, že kterýkoli subjekt pověřený zajištěním dodržování norem ochrany ve Státě Izrael neplní účinně svou úlohu, uvědomí o tom Komise příslušný orgán Státu Izrael a, bude-li třeba, předloží návrh opatření

Za Komisi Viviane REDING

místopředsedkyně

L 27/42 Strana 3492

CS


PŘÍLOHA

1.2.2011


Příslušný orgán dozoru uvedený v čl. 1 odst. 2 tohoto rozhodnutí: The Israeli Law, Information and Technology Authority (Izraelský úřad pro právo, informace a technologie) The Government Campus 9th floor 125 Begin Rd. Tel Aviv Izrael Poštovní adresa: P.O. Box 7360 Tel Aviv, 61072 Tel.: + 972 3 7634050 Fax: + 972 2 6467064 E-mail: [email protected] Internetová stránka: http://www.justice.gov.il/MOJEng/RashutTech/default.htm

CS

23.8.2012



ROZHODNUTÍ

L 227/11 Strana 3493

PROVÁDĚCÍ ROZHODNUTÍ KOMISE ze dne 21. srpna 2012 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající ochraně osobních údajů Uruguayskou východní republikou v souvislosti s automatizovaným zpracováváním osobních údajů (oznámeno pod číslem C(2012) 5704) (Text s významem pro EHP)

(2012/484/EU) dající úrovně této ochrany a uplatňování všech rozhod nutí na základě čl. 25 odst. 6 směrnice 95/46/ES nebyla svévolně nebo neodůvodněně diskriminační vůči třetím zemím, kde jsou obdobné podmínky, nebo mezi nimi, a aby nevytvářela skrytou překážku obchodu s ohledem na stávající mezinárodní závazky Evropské unie.

EVROPSKÁ KOMISE,

s ohledem na Smlouvu o fungování Evropské unie,

s ohledem na směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (1), a zejména na čl. 25 odst. 6 uvedené směrnice,

(5)

Ústava Uruguayské východní republiky přijatá v roce 1967 výslovně neuznává právo na soukromí ani právo na ochranu osobních údajů. Seznam základních práv však není konečný, jelikož v článku 72 ústavy je stano veno, že „uvedení práv, povinností a záruk v ústavě nevy lučuje ostatní práva, povinnosti a záruky, jež jsou neod myslitelně spjaty s osobností člověka nebo které vyplývají z republikánské formy vlády“. Paragraf 1 zákona č. 18.331 o ochraně osobních údajů a opravném prostředku „Habeas Data“ ze dne 11. srpna 2008 (Ley No 18.331 de Protección de Datos Personales y Acción de „Habeas Data“) jednoznačně uvádí, že „člověku je vlastní právo na ochranu osobních údajů, a je proto obsaženo v článku 72 ústavy republiky“. V článku 332 ústavy je uvedeno, že uplatňování pravidel obsažených v této ústavě, která uznávají práva jednotlivců, jakož i pravidel přiznávajících práva a ukládajících povinnosti orgánům veřejné správy, by nemělo být znemožněno neexistencí příslušných předpisů, nýbrž tyto budou nahrazeny použitím základů podobných zákonů, práv ních zásad a obecně uznávaných doktrín.

(6)

Právní normy ochrany osobních údajů v Uruguayské východní republice vycházejí především ze standardu stanoveného směrnicí 95/46/ES a jsou uvedeny v zákoně č. 18.331 o ochraně osobních údajů a opravném prostředku „Habeas Data“ (Ley No 18.331 de Protección de Datos Personales y Acción de „Habeas Data“) ze dne 11. srpna 2008. Tento zákon se vztahuje jak na fyzické, tak na právnické osoby.

(7)

Tento zákon je dále doplněn vyhláškou č. 414/009 ze dne 31. srpna 2009, která byla přijata za účelem vyjas nění některých aspektů zákona a stanovení podrobné

po konzultaci s evropským inspektorem ochrany údajů (2),

vzhledem k těmto důvodům:

(1)

V souladu se směrnicí 95/46/ES jsou členské státy povinny zajistit, aby k předávání osobních údajů do třetí země docházelo, pouze pokud dotyčná třetí země zajišťuje odpovídající úroveň ochrany a pokud budou před předáním údajů dodržovány právní předpisy člen ských států provádějící ostatní ustanovení směrnice.

(2)

Komise může dospět k závěru, že třetí země zajišťuje odpovídající úroveň ochrany. Takové zemi mohou členské státy předávat osobní údaje, aniž by byly nutné dodatečné záruky.

(3)

V souladu se směrnicí 95/46/ES má být úroveň ochrany údajů hodnocena s ohledem na všechny okolnosti souvi sející s předáním nebo předáváním údajů, a to se zvláštním zřetelem na celou řadu podmínek týkajících se předávání a uvedených v článku 25 této směrnice.

(4)

S ohledem na rozdíly v přístupu třetích zemí k ochraně údajů by mělo být dbáno na to, aby hodnocení odpoví

(1) Úř. věst. L 281, 23.11.1995, s. 31. (2) Dopis ze dne 31. srpna 2011.

L 227/12

CS



Strana 3494 úpravy organizace, pravomocí a fungování orgánu dohlí žejícího na ochranu údajů. V preambuli vyhlášky se uvádí, že v této věci je vhodné přizpůsobit vnitrostátní právní systém nejuznávanějšímu srovnatelnému práv nímu režimu, a to v zásadě režimu stanovenému evrop skými zeměmi prostřednictvím směrnice 95/46/ES.

(8)

(9)

(10)

(11)

Ustanovení o ochraně údajů jsou obsažena rovněž v řadě zvláštních právních předpisů, kterými je upraveno vytvá ření a správa databází, zejména v právních předpisech, které upravují určité veřejné rejstříky (veřejných listin, průmyslového vlastnictví a obchodních značek, osobních úkonů, nemovitostí, těžebních práv, nebo úvěrové solventnosti). Ve smyslu článku 332 ústavy se zákon č. 18.331 dodatečně k těmto předpisům používá ve vztahu k těm otázkám, jež nejsou upraveny zvláštními právními předpisy.

Právní normy o ochraně údajů uplatňované v Uruguayské východní republice obsahují všechny základní zásady nezbytné pro zajištění odpovídající úrovně ochrany fyzic kých osob a současně stanoví výjimky a omezení pro ochranu důležitých veřejných zájmů. Do těchto právních norem o ochraně údajů a výjimek se promítají zásady stanovené ve směrnici 95/46/ES.

údajů, a že tato práva jsou pod dohledem orgánů pro ochranu údajů. Co se týče zásady transparentnosti, uruguayské orgány pro ochranu údajů informovaly, že ve všech případech se uplatňuje povinnost poskytnout subjektu údajů nezbytné informace. Pokud jde o právo na přístup k údajům, orgán na ochranu údajů vysvětlil, že při podání žádosti stačí, když subjekt údajů prokáže svou totožnost. Uruguayské orgány pro ochranu údajů objasnily, že výjimky týkající se zásady předávání údajů do jiných zemí, které jsou uvedeny v paragrafu 23 odst. 1 zákona č. 18.331, nelze chápat v tom smyslu, že mají širší uplatnění, než jaké je uvedeno v čl. 26 odst. 1 směrnice 95/46/ES.

(12)

Toto rozhodnutí přihlíží k uvedeným vysvětlením a zárukám a vychází z nich.

(13)

Uruguayská východní republika je také smluvní stranou Americké úmluvy o lidských právech (Pakt ze San José, Costa Rica) ze dne 22. listopadu 1969, která vstoupila v platnost dne 18. července 1978 (1). Článek 11 této úmluvy stanoví právo na soukromí a v článku 30 je uvedeno, že omezení uplatnění nebo využití práv či svobod, které úmluva uznává, lze použít podle této úmluvy pouze v souladu s právními předpisy přijatými v obecném zájmu a v souladu s účelem, pro který bylo takové omezení přijato (článek 30). Uruguayská východní republika se navíc podřizuje jurisdikci Meziamerického soudu pro lidská práva. Poté co příslušný poradní výbor vydal kladné stanovisko, vyzvali zástupci ministrů Rady Evropy na svém 1118. zasedání dne 6. července 2011 Uruguayskou východní republiku, aby přistoupila k Úmluvě o ochraně osob s ohledem na automatizované zpracování osobních údajů (ETS č. 108) a k jejímu dodat kovému protokolu (ETS č. 118) (2).

(14)

Uruguayskou východní republiku je proto třeba pova žovat za zemi zajišťující odpovídající úroveň ochrany osobních údajů podle směrnice 95/46/ES.

(15)

Toto rozhodnutí by se mělo týkat přiměřenosti ochrany zajištěné v Uruguayské východní republice s cílem splnit požadavky čl. 25 odst. 1 směrnice 95/46/ES. Nemělo by

Uplatňování právních norem o ochraně údajů je zaručeno správními a soudními opravnými prostředky, zejména žalobou „habeas data“, která subjektu údajů umožňuje pohnat správce údajů před soud za účelem vymožení svého práva na přístup k údajům, jejich opravu a výmaz, a dále nezávislým dohledem prováděným orgánem dozoru (Útvar pro regulaci a kontrolu osobních údajů, Unidad Reguladora y de Control de Datos Perso nales (URCDP)), který je vybaven pravomocí vyšetřovat, zasahovat a sankcionovat v souladu s článkem 28 směr nice 95/46/ES, a který koná zcela nezávisle. Kterákoli zainteresovaná strana má navíc právo vymáhat soudní cestou náhradu škody, kterou utrpěla v důsledku proti právního zpracování jejích osobních údajů.

Uruguayské orgány na ochranu osobních údajů poskytly vysvětlení a záruky ohledně způsobu výkladu uruguay ského práva a poskytly záruky ohledně provádění uruguayských předpisů na ochranu údajů v souladu s takovým výkladem. Uruguayské orgány na ochranu údajů vysvětlily, že podle článku 332 ústavy se zákon č. 18.331 používá dodatečně ke zvláštním právním před pisům, které upravují vytváření a správu specifických databází, ve vztahu k těm otázkám, které tyto zvláštní právní nástroje neupravují. Stejně tak vysvětlily, že pokud jde o seznamy uvedené v paragrafu 9 C) zákona č. 18.331, a které nevyžadují souhlas subjektu údajů se zpracováním, ze zákona se uplatňují také práva subjektů údajů, zejména zásady omezení účelu a přiměřenosti

23.8.2012

(1) Organizace amerických států; OAS, Sbírka smluv, č. 36, 1144 U.N.T.S. 123. http://www.oas.org/juridico/english/treaties/b-32.html (2) Rada Evropy: https://wcd.coe.int/wcd/ViewDoc.jsp?Ref=CM/Del/ Dec(2011)1118/10.3&Language=lanEnglish&Ver=original&Site= CM&BackColorInternet=DBDCF2&BackColorIntranet=FDC864& BackColorLogged=FDC864

23.8.2012

CS



se týkat jiných podmínek či omezení, které provádějí jiná ustanovení zmíněné směrnice, a které se týkají zpraco vání osobních údajů v členských státech.

(16)

V zájmu transparentnosti, a aby příslušné orgány v člen ských státech zajistily ochranu fyzických osob v souvi slosti se zpracováním jejich osobních údajů, je nezbytné uvést výjimečné okolnosti, za nichž může být odůvod něno pozastavení určitých toků údajů, bez ohledu na zjištění odpovídající úrovně ochrany.

(17)

Komise by měla sledovat, jak toto rozhodnutí funguje, a veškeré relevantní poznatky sdělovat výboru zřízenému podle článku 31 směrnice 95/46/ES. Sledování by se mělo zaměřit mimo jiné na režim předávání údajů, který Uruguayská východní republika používá v rámci mezinárodních smluv.

(18)

(19)

Pracovní skupina pro ochranu fyzických osob v souvi slosti se zpracováním osobních údajů, zřízená podle článku 29 směrnice 95/46/ES, předložila kladné stano visko k úrovni ochrany osobních údajů, k němuž bylo přihlédnuto při přípravě tohoto rozhodnutí (1).

Opatření tohoto rozhodnutí jsou v souladu se stano viskem výboru zřízeného podle čl. 31 odst. 1 směrnice 95/46/ES,

L 227/13

Strana 3495 a) pokud příslušný uruguayský orgán zjistí, že příjemce nedo držuje standardy uplatňované v oblasti ochrany, nebo

b) pokud existuje důvodná pravděpodobnost, že normy ochrany jsou porušovány, a pokud se lze důvodně domnívat, že příslušný uruguayský orgán včas nepřijal nebo nepřijme odpovídající opatření nezbytná pro vyřešení dané věci; pokud by pokračování v předávání údajů vyvolalo bezpro střední riziko vzniku vážné újmy subjektům údajů a pokud příslušné orgány členského státu za daných okolností vyvinuly přiměřené úsilí o informování strany odpovědné za zpracování údajů usazené v Uruguayské východní repub lice a poskytly jí příležitost zaujmout stanovisko.

2. Pozastavení předávání údajů skončí, jakmile je zajištěno dodržování norem ochrany a jakmile je o této skutečnosti infor mován příslušný orgán členského státu.

Článek 3 1. Členské státy neprodleně uvědomí Komisi o přijetí opatření podle článku 2.

2. Členské státy a Komise se rovněž vzájemně informují o případech, kdy opatření přijatá subjekty pověřenými zajiš těním dodržování norem ochrany v Uruguayské východní republice nejsou dostatečná.

PŘIJALA TOTO ROZHODNUTÍ:

Článek 1 1. Pro účely čl. 25 odst. 2 směrnice 95/46/ES se Uruguayská východní republika považuje za zemi zajišťující odpovídající úroveň ochrany osobních údajů předávaných z Evropské unie.

2. V příloze tohoto rozhodnutí je uveden příslušný orgán dozoru Uruguayské východní republiky pro uplatňování práv ních norem ochrany údajů v Uruguayské východní republice.

Článek 2 1. Aniž jsou dotčeny pravomoci příslušných orgánů člen ských států přijímat opatření, která zajišťují, aby byly dodržo vány vnitrostátní předpisy přijaté na základě jiných ustanovení než článku 25 směrnice 95/46/ES, mohou tyto orgány vykonávat své stávající pravomoci, aby pozastavily předávání údajů příjemci v Uruguayské východní republice s cílem chránit fyzické osoby v souvislosti se zpracováním jejich osobních údajů v těchto případech: (1) Stanovisko č. 6/2010 o úrovni ochrany osobních údajů v Uruguayské východní republice. Dostupné na http://ec.europa.eu/justice/policies/ privacy/docs/wpdocs/2010/wp177_en.pdf

3. Pokud informace shromážděné podle článku 2 a podle odstavců 1 a 2 tohoto článku prokážou, že kterýkoli subjekt pověřený zajištěním dodržování norem ochrany v Uruguayské východní republice neplní účinně svou úlohu, uvědomí o tom Komise příslušný uruguayský orgán a v případě potřeby před loží návrh opatření postupem podle čl. 31 odst. 2 směrnice 95/46/ES s cílem zrušit toto rozhodnutí, pozastavit je nebo omezit jeho oblast působnosti.

Článek 4 Komise sleduje provádění tohoto rozhodnutí a jakékoli před mětné poznatky sdělí výboru zřízenému podle článku 31 směr nice 95/46/ES, včetně jakýchkoliv důkazů, které by mohly mít vliv na hodnocení prováděné podle článku 1 tohoto rozhodnutí, zda je úroveň ochrany v Uruguayské východní republice odpo vídající ve smyslu článku 25 směrnice 95/46/ES, a jakýchkoliv důkazů, že se toto rozhodnutí provádí diskriminačním způso bem.

Článek 5 Členské státy přijmou veškerá opatření, která jsou nezbytná pro dosažení souladu s tímto rozhodnutím, do tří měsíců od data jeho zveřejnění.

L 227/14

CS


Strana 3496

Článek 6

23.8.2012


Toto rozhodnutí je určeno členským státům.

V Bruselu dne 21. srpna 2012. Za Komisi Viviane REDING

místopředsedkyně

PŘÍLOHA Příslušný orgán dozoru uvedený v čl. 1 odst. 2 tohoto rozhodnutí: Unidad Reguladora y de Control de Datos Personales (URCDP), Andes 1365, Piso 8 Tel. +598 2901 2929 linka: 1352 11.100 Montevideo URUGUAY Kontaktní e-mailová adresa: http://www.datospersonales.gub.uy/sitio/contactenos.aspx Elektronické stížnosti: http://www.datospersonales.gub.uy/sitio/contactenos.aspx Internetová stránka: http://www.datospersonales.gub.uy/sitio/contactenos.aspx


Strana 3497

Strana 3498


Vyberte si z nabídky věstníků a zpravodajů


Strana 3499

Předpokládaná výše předplatného pro rok 2013 a periodicita distribuovaných věstníků a zpravodajů: Předpokládaná periodicita

Název věstníku, zpravodaje

Záloha na předplatné

Věstník Úřadu pro ochranu osobních údajů

4krát ročně

300 Kč

Ústřední věstník ČR

6krát ročně

400 Kč

Věstník Ministerstva zemědělství

3krát ročně

200 Kč

Věstník Ministerstva zdravotnictví

10krát ročně

1500 Kč

Cenový věstník Ministerstva financí

16krát ročně

1800 Kč

6krát ročně

600 Kč

12krát ročně

500 Kč

Finanční zpravodaj Věstník Ministerstva školství, mládeže a tělovýchovy ČR

Objednávky přijímá a vyřizuje:

SEVT, a. s., oddělení předplatného, Pekařova 4, 181 06 Praha 8 – Bohnice Tel.: 283 090 354 G Fax: 233 553 422 e-mail: [email protected] Obsahy věstníků a zpravodajů na www.sevt.cz

Oficiální distributor Úředního věstníku EU

www.sevt.cz

Strana 3500


Věstník Úřadu pro ochranu osobních údajů Vydavatel: Úřad pro ochranu osobních údajů Adresa redakce: Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7 Redakce: Miluše Nejedlá, tel.: 234 665 232, fax: 234 665 505 e-mail: [email protected] internetová adresa: www.uoou.cz Administrace: Písemné objednávky předplatného, změny adres a počtu odebíraných výtisků – SEVT, a. s., Pekařova 4, 181 06 Praha 8-Bohnice, telefon: 283 090 352, 283 090 354, fax: 233 553 422, www.sevt.cz, e-mail: [email protected]. – Předpokládané roční předplatné se stanovuje za dodávku kompletního ročníku a je od předplatitelů vybíráno formou záloh ve výši oznámené ve Věstníku a pro tento rok činí 400 Kč – Vychází podle potřeby – Tiskne: Sprint servis, Lovosická 31, Praha 9. Distribuce: Předplatné, jednotlivé částky na objednávku i za hotové – SEVT, a. s., Pekařova 4, 181 06 Praha 8-Bohnice, telefon: 283 090 352, 283 090 354, fax: 233 553 422; drobný prodej v prodejnách SEVT, a. s. – Praha 4, Jihlavská 405, tel.: 261 260 414 – Brno, Česká 14, tel.: 542 213 962– České Budějovice, Česká 3, tel.: 387 319 045 a ve vybraných knihkupectvích. Distribuční podmínky předplatného: Jednotlivé částky jsou expedovány předplatitelům neprodleně po dodání z tiskárny. Objednávky nového předplatného jsou vyřizovány do 15 dnů a pravidelné dodávky jsou zahajovány od nejbližší částky po ověření úhrady předplatného, nebo jeho zálohy. Částky vyšlé v době od zaevidování předplatného do jeho úhrady jsou doposílány jednorázově. Změny adres a počtu odebíraných výtisků jsou prováděny do 15 dnů. Lhůta pro uplatnění reklamací je stanovena na 15 dnů od data rozeslání, po této lhůtě jsou reklamace vyřizovány jako běžné objednávky za úhradu. V písemném styku vždy uvádějte IČ (právnická osoba) a kmenové číslo předplatitele. Podávání novinových zásilek povoleno ŘPP Praha.

ISSN 1213-3442

VÚŘADU PRO OCHRANU OSOBNÍCH ÚDAJŮ

Recommend Documents